Welche Anforderungen sind bei der Übermittlung von Daten in das Ausland zum Schutz der Persönlichkeitsrechte zu beachten?


Dieser Beitrag verweist sowohl auf Dokumente der Artikel-29-Gruppe als auch auf Dokumente des Europäischen Datenschutzausschusses. Bis zum 24.05.2018 war sie das Arbeitsgremium der europäischen Datenschutzaufsichtsbehörden und wurde zum 25.05.2018 durch den Europäischen Datenschutzausschuss (EDSA) abgelöst.

Zur Vorbereitung der Geltung der DS-GVO ab dem 25.05.2018 hat die Artikel-29-Gruppe bereits im Vorfeld Leitlinien mit Themen aus Art. 70 DS-GVO erstellt. Außerdem wurden bestehende Arbeitspapiere aktualisiert. Sie wurden am 25.05.2018 durch den EDSA bestätigt.

Papiere der Artikel-29-Gruppe, die noch nicht hinsichtlich der DS-GVO aktualisiert bzw. überarbeitet wurden, sind mit „*“ gekennzeichnet. Dies betrifft sogenannte Arbeitsdokumente. Sie sind gekennzeichnet mit dem Kürzel „WP“ („working paper“). Diese Dokumente können herangezogen werden, soweit sie inhaltlich weiterhin Bestand haben, was für den jeweiligen Einzelfall sorgfältig zu prüfen ist.



1.         Prüfungsstufe

In einer 1. Prüfungsstufe muss sich jeder Verantwortliche, der Daten übermittelt, vergewissern, ob diese Übermittlung die allgemeinen Zulässigkeitsvoraussetzungen für die Verwendung personenbezogener Daten erfüllt (s. Art. 5 Abs. 2 DS-GVO). Er muss also prüfen, ob eine Rechtsgrundlage gemäß Art. 6 Abs. 1 DS-GVO für die Übermittlung gegeben ist.

Auch die übrigen allgemeinen Anforderungen an Datenverwendungen nach Art. 5 DS-GVO müssen umgesetzt werden, beispielsweise Informationspflichten und die Umsetzung der Prinzipien der Datenminimierung und Speicherbegrenzung.

Auftragsverarbeiter müssen die sie als Auftragsverarbeiter treffenden allgemeinen Pflichten erfüllen. Informationen zum Thema Auftragsverarbeitung enthält das Kurzpapier Nr. 13 (Auftragsverarbeitung).

Diese erste Prüfungsstufe muss immer erfolgen, unabhängig davon, ob die Daten an eine Stelle im Inland, in der EU bzw. des EWR oder in Drittländer transferiert werden (siehe Artikel 44 „(…) und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; (…)“).

 

2.         Prüfungsstufe

Bei Datenübermittlungen in Länder außerhalb der EU/des EWR (Drittländer) folgt eine 2. Prüfungsstufe, in der geprüft wird, ob in einem Empfängerstaat ein dem Rechtsrahmen der Europäischen Union (EU) gegenüber angemessenes Datenschutzniveau gegeben ist bzw. geeignete oder angemessene Garantien umgesetzt sind (Art. 45-47DS-GVO) oder ob eine der Ausnahmeregelungen des Art. 49 DS-GVO anwendbar ist.


2.1       Angemessenes Datenschutzniveau im Drittland

Ob ein Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder eine internationale Organisation ein angemessenes Datenschutzniveau bieten, wird durch die EU-Kommission festgestellt. Nach Art. 45 Abs. 1 S. 2 DS-GVO bestehen auf der 2. Prüfungsstufe keine weiteren Anforderungen bei Datenübermittlungen in Drittländer, für die die Europäische Kommission einen entsprechenden Angemessenheitsbeschluss gefasst hat.

Die auf Grundlage von Artikel 25 Absatz 6 der Richtlinie 95/46/EG getroffenen Angemessenheitsentscheidungen behalten unter der Maßgabe von Art. 45 Abs. 9 DS-GVO auch nach Inkrafttreten der DS-GVO ihre Gültigkeit. Angemessenheitsbeschlüsse gibt es für: Andorra, Argentinien, Färöer-Inseln, Guernsey, Isle of Man, Israel (eingeschränkt), Jersey, Kanada (eingeschränkt), Neuseeland, Schweiz und Uruguay, USA (bzgl. Privacy Shield).

Die EU-Kommission hat diese Angemessenheitsbeschlüsse am 16.12.2016 mit einem Änderungsbeschluss angepasst. Die Änderungen betreffen nicht den Bestand der Angemessenheitsbeschlüsse. Sie sollen Anforderungen aus dem Schrems-Urteil des EuGH (siehe unter Ziffer 2.2) bezüglich der Befugnisse der Aufsichtsbehörden umsetzen.

Am 17.07.2018 hat die EU-Kommission über den Abschluss von Verhandlungen mit Japan für eine Angemessenheitsentscheidung informiert. Nun werden die nach der DS-GVO notwendigen Schritte für die Verabschiedung einer solchen Angemessenheitsentscheidung in Bezug auf Japan gestartet.

Es laufen weiterhin Verhandlungen der EU-Kommission mit Südkorea für eine Angemessenheitsentscheidung.

 

2.2      Besonderheiten bei Datentransfers in die USA

Die EU Kommission hat mit Beschluss vom 12.07.2016 entschieden, dass unter dem Selbstzertifizierungsmechanismus des EU-US Privacy Shield ein angemessenes Datenschutzniveau für Datenübermittlungen in die USA besteht. Das EU-US Privacy Shield ist ein Selbstzertifizierungsmechanismus für US-Unternehmen. Die Entscheidung der EU-Kommission bedeutet nicht, dass für die USA allgemein ein angemessenes Datenschutzniveau festgestellt wurde.

Mehr zum EU-US Privacy Shield finden Sie in den Beiträgen EU-US Privacy Shield - Informationen für Betroffene und Datenübermittlungen in die USA – Fragen und Antworten zum EU-US Privacy Shield.

Die Entscheidung der EU-Kommission zum EU-US Privacy Shield gilt ebenfalls unter der Maßgabe von Art. 45 Abs. 9 DS-GVO fort.


2.3     Kein angemessenes Datenschutzniveau im Drittland

Sollen personenbezogene Daten in Drittländer ohne angemessenes Datenschutzniveau übermittelt werden, sind neben den allgemeinen Zulässigkeitsvoraussetzungen die Artikel 46-49 DS-GVO zu beachten.

 

2.3.1   Datenübermittlung mit geeigneten Garantien

Nach Art. 46 Abs 1 DS-GVO ist eine Datenübermittlung in Drittländer ohne angemessenes Datenschutzniveau zulässig, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.

 

a) Genehmigungsfreie geeignete Garantien (Art. 46 Abs. 2 DS-GVO)

Die in Art. 46 Abs. 2 DS-GVO abschließend aufgezählten Arten geeigneter Garantien müssen durch die LDI NRW nicht gesondert für konkrete Verarbeitungsvorgänge genehmigt werden (Art. 46 Abs. 2 DS-GVO).

Darunter sind alle bereits unter der EU-Datenschutzrichtlinie (Ril. 95/46/EG) bekannten Übermittlungsinstrumente. Die mit der DS-GVO neu eingeführten Übermittlungsinstrumente sind mit „Neu“ gekennzeichnet.

 

aa) Standarddatenschutzklauseln der EU-Kommission (EU-Standardvertragsklauseln) (Art. 46 Abs. 2 lit. c DS-GVO)

Die Europäische Kommission stellt weiterhin insgesamt drei Musterverträge zur Verfügung, die – durch Kommissionsentscheidungen bestätigt – ausreichende Garantien für die Persönlichkeitsrechte gewährleisten. Allgemein werden diese Verträge als EU-Standardvertragsklauseln bezeichnet. Einer der Verträge ist speziell für die Übermittlung an Auftragsverarbeiter im Drittland vorgesehen, die anderen beiden können für die Datenübermittlung zwischen zwei selbstständigen verantwortlichen Stellen eingesetzt werden. Die Vertragsmuster sind den Kommissionsentscheidungen  als Anhang beigefügt:

Standardvertrag für Datenübermittlungen an Auftragsverarbeiter in Drittländern

Standardvertrag für Datenübermittlungen an verantwortliche Stellen in Drittländern (Klausel-Set I)

Standardvertrag für Datenübermittlungen an verantwortliche Stellen in Drittländern (Klausel-Set II).

Die EU-Kommission hat ihre Beschlüsse zu den Standardvertragsklauseln mit Beschluss vom 16.12.2016 geändert. Die Änderungen betreffen weder den Bestand der Beschlüsse noch die Inhalte der Standardverträge. Sie sollen Anforderungen aus dem Schrems-Urteil des Europäischen Gerichtshofes (EuGH, siehe oben Ziffer 2.1) bezüglich der Befugnisse der Aufsichtsbehörden umsetzen.

Diese aufgrund der Richtlinie 95/46/EG getroffenen Beschlüsse sind weiterhin gültig (Art. 46 Abs. 5 Satz 2 DS-GVO)



Die EU-Standardvertragsklauseln werden von der jeweiligen datenexportierenden Stelle (Datenexporteur) mit der datenempfangenden Stelle (Datenimporteur) abgeschlossen. Es ist auch möglich, diese Verträge als Mehrparteienvertrag zu gestalten. Dabei ist allerdings besonders darauf zu achten, dass die konkreten Datenflüsse zwischen den Vertragsparteien klar beschrieben sind. Es muss für die Betroffenen transparent bleiben, an welche Stellen zu welchen Zwecken ihre Daten übermittelt werden. Stellen Datenexporteure Schwierigkeiten bei der entsprechenden Darstellung fest, ist ein solcher Mehrparteienvertrag aufgrund zu komplizierter Strukturen und Datenflüsse ggfs. nicht das Übermittlungsinstrument der Wahl.

Der ursprüngliche Standardvertrag für die Auftragsverarbeitung aus dem Jahr 2001 wurde im Jahr 2010 durch ein neues Vertragsmuster ersetzt. Altverträge nach dem vorherigen Muster gelten grundsätzlich ebenfalls weiter fort. Sie müssen allerdings im Fall einer Vertragsanpassung oder -änderung durch das aktuelle Vertragsmuster ersetzt werden.

Wenn datenexportierende Stellen mit dem Datenimporteur im Drittland einen Standardvertrag abschließen, geschieht dies in eigener Verantwortung. Einer besonderen Genehmigung der EU-Standardvertragsklauseln durch die LDI NRW bedarf es nicht, denn die Eignung des Vertragswerks als Garantie im Sinne des Art. 46 Abs. 1 DS-GVO folgt bereits aus der Erwähnung in Art. 46 Abs. 2 lit. c) DS-GVO . Werden allerdings einzelne Klauseln individuell verändert oder Klauseln der einzelnen Verträge miteinander vermischt, entsteht grundsätzlich ein Individualvertrag, der gemäß Art. 46 Abs. 3 DS-GVO im Kohärenzverfahren auf EU-Ebene abgestimmt und durch die Aufsichtsbehörde genehmigt werden muss. Grundsätzlich können darunter auch Ergänzungen fallen, die der Anpassung an die DS-GVO dienen (etwa zur Erfüllung der Voraussetzungen des Art. 28 Abs. 3 DS-GVO durch die EU-Standardvertragsklauseln selbst). Ob im Einzelfall keine Genehmigungspflicht und/oder Abstimmungspflicht auf EU-Ebene besteht, ist in Zweifelsfällen durch Rückfrage bei der zuständigen Aufsichtsbehörde zu klären.

WP 176* der Artikel-29-Gruppe enthält Informationen zum Einsatz der EU-Standardvertragsklauseln.

Seit Ende 2014 besteht auf europäischer Ebene ein Verfahren der Artikel-29-Gruppe (WP 226*) für Unternehmen, die identische Vertragsklauseln (auf der Grundlage eines Standardvertrages mit einigen unterschiedlichen Zusatzklauseln) in verschiedenen Mitgliedstaaten verwenden wollen. Damit erhalten die Unternehmen einen koordinierten Standpunkt der zuständigen Datenschutzbehörden hinsichtlich des vorgeschlagenen Vertrags, insbesondere um entscheiden zu können, ob der Vertrag noch mit einem Standardvertrag konform ist.

Die irische Datenschutzbehörde hat ein gerichtliches Verfahren zur Überprüfung der EU-Standardvertragsklauseln vor dem irischen High Court angestrengt. Der irische High Court hat dem EuGH Fragen zu dem Inhalt des Verfahrens vorgelegt. Dieses Vorabentscheidungsersuchen wird unter dem Aktenzeichen C-311/18 geführt. Am 31.07.2018 hat der Supreme Court of Ireland die Berufung von Facebook gegen die Vorlage an den EuGH zugelassen. Das Verfahren vor dem EuGH wird wahrscheinlich erst nach einer Entscheidung des Supreme Court of Ireland weitergehen.

 

bb) Neu: Standarddatenschutzklauseln der Aufsichtsbehörden (Art. 46 Abs. 2 lit. d) DS-GVO)

Diese Garantien wurden durch die DS-GVO neu eingeführt. Die Aufsichtsbehörden haben die Möglichkeit, eigene Standardvertragsklauseln anzunehmen und diese auf EU-Ebene im Kohärenzverfahren abzustimmen. Für einen genehmigungsfreien Einsatz müssen die Klauseln auf EU-Ebene von der EU-Kommission genehmigt werden. Dann können sie ohne zusätzliche Genehmigung eingesetzt werden. Die LDI NRW plant derzeit keine solcher Klauseln.

 

cc) Verbindliche interne Datenschutzvorschriften („Binding Corporate Rules“, BCR) (Art. 46 Abs. 2 lit. b, Art. 47 DS-GVO)

Als weitere, schon vor der DS-GVO existierende, Garantien für die Übermittlung von personenbezogenen Daten an eine Stelle in einem Drittland sind die verbindlichen internen Datenschutzvorschriften oder "Binding Corporate Rules" (BCR) zu nennen.

Seit 2012 können diese in zwei verschiedenen Ausprägungen aufgesetzt werden:

-       Controller BCR – Regelungen für Verantwortliche: Diese dienen dem Datentransfer ausgehend von verantwortlichen Stellen innerhalb von multinationalen Unternehmensgruppen an Datenempfänger in Drittländern  und können auch als verbindliche Konzernregelungen für eigene Daten bezeichnet werden.

-       Processor BCR – Regelungen für Auftragsverarbeiter: Die verbindlichen unternehmensinternen Datenschutzregelungen für Auftragsverarbeiter. Der Fokus dieser Regelungen liegt auf Weiterübermittlungen innerhalb der Unternehmensgruppe eines Auftragsverarbeiters in Drittländer und auch an dessen externe Unterauftragnehmer (soweit diese die Regelungen verbindlich umsetzen). Denkbar ist dies etwa im Zusammenhang mit der Auslagerung von IT-Dienstleistungen. Insgesamt können diese auch als verbindliche Konzernregelungen für Daten Dritter bezeichnet werden.

Die erforderlichen Mindestinhalte für BCR sind in Art. 47 DS-GVO geregelt.

Arbeitspapier WP 263 rev.01 (ehemals WP 107) enthält übergreifende Erläuterungen für ein Koordinierungsverfahren der europäischen Datenschutzaufsichtsbehörden für BCR.

Im Arbeitspapier WP 155 rev.04* sind Antworten auf häufig gestellte Fragen sowohl zur BCR für Verantwortliche als auch für Auftragsverarbeiter zusammengestellt.

Bereits genehmigte BCR behalten ihre Gültigkeit (Art. 46 Abs. 5 Satz 1 DS-GVO). Sie sind von den Unternehmensgruppen an die DS-GVO anzupassen. Die federführende Aufsichtsbehörde sollte im Rahmen der jährlichen Änderungsmeldungen informiert werden

 

Controller BCR – Regelungen für Verantwortliche

Dieses Instrument kommt insbesondere in Frage für Unternehmensgruppen oder Gruppen von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in denen ein regelmäßiger Austausch personenbezogener Daten erfolgt. Die Unternehmen erarbeiten ein Regelwerk, welches Datenschutzgarantien für die Personen schafft, deren Daten im Konzern verarbeitet werden. Dieses Regelwerk kann sich auch auf bestimmte Personengruppen beschränken, zum Beispiel für die Verarbeitung von Personaldaten innerhalb eines Konzernverbundes. Es bietet dann nur für diese Daten geeignete Garantien gemäß Art. 46 DS-GVO.

Wichtige Dokumente:

-       Arbeitspapier WP 264 (Antragsformular zum Start des EU-weiten Koordinierungsprozesses für die Genehmigung von BCR für Verantwortliche. Antragsteller reichen zunächst nur Teil 1 des Formulars ein.)

-       Arbeitspapier WP 256 rev.01 (tabellarische Darstellung über die notwendigen Inhalte von BCR für Verantwortliche.)

 

Processor BCR – Regelungen für Auftragsverarbeiter

Allgemeine Erläuterungen zu verbindlichen Konzernregelungen für Auftragsverarbeiter enthält das Arbeitspapier WP 204* der Artikel-29-Gruppe. Es liegt in einer überarbeiteten Fassung vom 22.05.2015 vor.

Weitere wichtige Dokumente:

-       WP 265 (Antragsformular zum Start des EU-weiten Koordinierungsprozesses für die Genehmigung von BCR für Auftragsverarbeiter. Antragsteller reichen zunächst nur Teil 1 des Formulars ein.)

-       WP 257 rev.01 (tabellarische Darstellung über die notwendigen Inhalte von BCR für Auftragsverarbeiter.)

 

dd) Neu: Genehmigte Verhaltensregeln und Zertifizierung (Art. 46 Abs. 2 lit.e) und f) DS-GVO)

Die DS-GVO sieht mit den sogenannten genehmigten Verhaltensregeln nach Art. 40 DS-GVO (Art. 46 Abs. 2 Nr. 5 DS-GVO) sowie dem erfolgreichen Durchlaufen eines Zertifizierungsmechanismus gemäß Art. 42 DS-GVO (Art. 46 Abs. 2 Nr. 6 DS-GVO) weitere geeignete Garantien vor, jedoch nur zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Datenempfängers im Drittland.

 

ee) Neu: Rechtlich bindende und durchsetzbare Dokumente zwischen öffentlichen Stellen (Art. 47 Abs. 2 lit. a DS-GVO)

Für den öffentlichen Bereich relevant sind die in Art. 47 Abs. lit. a DS-GVO aufgeführten rechtlich bindenden und durchsetzbaren Dokumente zwischen öffentlichen Stellen.

 

b) Genehmigungsbedürftige geeignete Garantien (Art. 46 Abs. 3 DS-GVO)

Darüber hinaus können datenübermittelnde Stellen andere, individuelle Garantien umsetzen, etwa individuelle Verträge. Art. 46 Abs. 3 DS-GVO führt beispielhaft zwei mögliche individuelle Übermittlungsinstrumente auf. Diese Auflistung ist, anders als die in Absatz 2, nicht abschließend. Datenübermittelnde Stellen können also eigene individuelle Garantien entwickeln und zur Genehmigung vorlegen. Deren Schutzniveau darf jedoch nicht hinter dem Schutzniveau der detaillierter ausgestalteten Garantien zurückbleiben. Insgesamt sollte zunächst eine Abstimmung mit den zuständigen Aufsichtsbehörden über den Anwendungsbereich potentieller eigener individueller Garantien vorgenommen werden.

Von einer Aufsichtsbehörde auf der bisher geltenden Grundlage von Art. 26 Absatz 2 der EU-Datenschutzrichtlinie RL 95/46/EG erteilte Genehmigungen bleiben vorerst gültig (siehe Art. 46 Abs. 5 DS-GVO).



3. Ausnahmen für bestimmte Fälle (Art. 49 DS-GVO)

Sind für die Datenübermittlung ins Ausland weder Angemessenheitsbeschlüsse für Drittländer getroffen noch geeignete Garantien vorgesehen worden, so kann eine Datenübermittlung auf der zweiten Stufe des Datenumgangs nur noch unter den Bedingungen des Art. 49 DS-GVO erfolgen.

Zunächst muss nach Art. 49 Abs. 5 DS-GVO – für den Fall, dass kein Angemessenheitsbeschluss existiert – geprüft werden, ob im Unionsrecht oder im Recht der Mitgliedstaaten Beschränkungen bestimmter Kategorien von personenbezogenen Daten an Drittländer aus wichtigen Gründen des öffentlichen Interesses vorgesehen sind. Existieren solche Beschränkungen, dürfen die betroffenen Kategorien an personenbezogenen Daten auch nicht unter den Voraussetzungen des Art. 49 DS-GVO an Drittländer übermittelt werden.

Sind keine Beschränkungen vorhanden, darf die Datenübermittlung ins Ausland nach Art. 49 Abs. 1 S.1 lit. a – g DS-GVO erfolgen, wenn

  • die betroffene Person in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt hat, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde (lit. a) oder
  • die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist (lit. b) oder
  • die Übermittlung zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich ist (lit. c) oder
  • die Übermittlung aus wichtigen Gründen des öffentlichen Interesses notwendig ist (lit. d) oder
  • die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (lit. e) oder
  • die Übermittlung zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich ist, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben (lit. f) oder
  • die Übermittlung aus einem Register erfolgt, das gemäß dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, aber nur soweit die im Recht der Union oder der Mitgliedstaaten festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind (lit. g).

 
Sollten auch diese Voraussetzungen nicht erfüllt sein, darf eine Übermittlung an ein Drittland oder eine internationale Organisation nach Art. 49 Abs. 1 UAbs. 2 DS-GVO nur noch dann erfolgen, wenn die Übermittlung

  • nicht wiederholt erfolgt,
  • nur eine begrenzte Zahl von betroffenen Personen betrifft,
  • für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich ist, sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen, und
  • der Verantwortliche alle Umstände der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung angemessene Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat

Diese Punkte müssen kumulativ vorliegen und deren Beurteilung sowie die angemessenen Garantien in die Dokumentation nach Art. 30 DS-GVO aufgenommen werden. Zudem muss der Verantwortliche die Aufsichtsbehörde von der Übermittlung in Kenntnis setzen und die betroffenen Personen über die Übermittlung und seine zwingenden berechtigten Interessen unterrichten.

Die Tatbestände des Art. 49 Abs. 1 DS-GVO sind restriktiv auszulegen. Sie dürfen nicht zu einer Aushöhlung des Persönlichkeitsrechtsschutzes bei Datenübermittlungen ins Ausland führen.

Weitere Ausführungen zu den Ausnahmetatbeständen enthalten die Leitlinien 2/2018 des Europäischen Datenschutzausschusses.



4. Allgemeine Hinweise

Datenverarbeitende Stellen sollten erst nach sorgfältiger Abwägung für den jeweiligen Einzelfall entscheiden, ob sie Dienste in Anspruch nehmen, bei denen Datenübermittlungen in Drittländer stattfinden (können). Dem Safe-Harbor-Urteil des EuGH zugrundeliegende Erwägungen können sich möglicherweise auch auf die übrigen Angemessenheitsbeschlüsse der EU-Kommission, die Übermittlungsinstrumente für Datentransfers in Drittländer und die Ausnahmetatbestände auswirken. Deshalb kann nicht allgemein und uneingeschränkt zu bestimmten Vorgehensweisen geraten werden. Außerdem dürften insbesondere die „Standardvertragsklauseln“ einer kritischen Prüfung durch den EuGH unterzogen werden.

Technische und organisatorische Maßnahmen können auch hinsichtlich der 2. Prüfungsstufe eingesetzt werden, etwa zur Verhinderung nicht erforderlicher Datenübermittlung oder unberechtigter Zugriffe Dritter. Wir raten den datenverarbeitenden Stellen generell dazu, für Übermittlungen von personenbezogenen Daten in Drittländer möglichst umfassend Verschlüsselung einzusetzen. Ebenfalls raten wir dazu, die Schlüsselverwaltung möglichst bei dem Datenexporteur in der EU durchzuführen.

 

zurück zur Übersicht